html css integrity,integrity 属性

一个有用的推论是 document.head 在任何写在网页上的 JavaScript 几乎总是可用。

document.body 只有当你将 script 标签写在

标签中或者它之后的时候才可用。

async 和 defer

HTML5 添加了两个工具来控制脚本的执行。

async

表示“不用马上执行它”。更具体地它表示：我不介意你在整个网页加载完成之后执行这个脚本，把它放在其他脚本执行之后。这对于统计分析脚本来说非常有用，因为页面上没有其他的代码需要依赖于统计脚本执行。定义一个页面需要的变量或函数在

async 的代码中是不行的，因为你没有方法知道什么时候 async 代码将会被实际执行。

defer 表示“等待页面解析完成之后执行”。它大致等价于将你的脚本绑定到 DOMContentedLoaded

事件，或者使用 jQuery.ready 。当这个代码被执行，DOM 中的一切元素都可用。不同于 async ，所有加了 defer

的脚本将会按照它们出现在 HTML 页面中的顺序执行，它只是推迟到 HTML 页面解析完毕后开始执行。

type 属性

从历史上看(自 Netsacpe 2 诞生起)，在 script 标签上是否写上 type=text/javascript

没有什么关系。如果你通过 type 设置一个非 JavaScript 的 MIME

类型，浏览器不会执行它。当你想要定义你自己的语言时，这会很酷：

make a social network

but for cats

这段代码实际执行结果由你自己决定，例如：

var codez =

document.querySelectorAll("script[type="text/emerald"]");

for (var i=0; i < codez.length;

i++)

runEmeraldCode(codez[i].innerHTML);

定义 runEmeraldCode 函数留给你们作为练习。

如果你有特别的需要，你也可以重写页面上 script 标签的默认 type ，方法是通过一个 meta 标签：

content="text/vbscript"->

或者一个请求返回一个 Content-Script-Type header。

可以读一下 Web 上奇怪的脚本语言的一个简短历史 这篇文章有关于 type 用法的更详细信息。

用 integrity 属性？

integrity 属性是子资源完整性新规范的一部分。它允许你为脚本文件将包含的内容内容提供一个

hash。这意味着可以防止在传输的时候内容丢失或者被恶意修改。就算使用了

SSL，这个规范也是有意义的，因为有时候你要加载的资源是你无法控制的站外资源，比如 code.jquery.com 。

如果你选择使用它，你要在 script 标签里包含一个 hash 类型以及 hash

值，将它们以连字符隔开。看起来类似下面这样：

src="//code.jquery.com/jquery.js"

integrity="sha384-oqVuAfXRKap7fdgcCY5uykM6+R9GqQ8K/uxy9rx7HNQlGYl1kPzQho1wx4JwY8wC">

我还没有看到有人用了它，然而如果你知道有哪个网站用了，可以在下面评论。

还可以用 crossorigin ！

虽然还没有完全被标准化，但是一些浏览器支持 crossorigin

属性。基本的想法是，浏览器会限制对非同源资源的使用(同源资源是指相同的协议、hostname 以及端口，例如： `

http://google.com:80)。

这是为了防止你，例如，向你的竞争对手网站发请求，注销你的用户在对方网站的账号(这不好！)。这个问题牵扯到 script

标签虽然有点意外，但如果实现了 crossorigin ，你只要加一个 handler 到 window.onerror

事件上，就能在看控制台上看到一些警告信息，提示你引入了一个不该引入的外站脚本。在安全的浏览器下， 除非 你指定 crossorigin

属性，不然加载外站脚本不会出错。

crossorgin 不是一个神奇的安全手段，它所做的只是让浏览器启用正常的 CORS 访问检查，发起一个 OPTIONS

请求并检查 Access-Control header。

document.currentScript

IE 不支持的一个新奇的东西是个叫做 document.currentScript

的属性。它指向当前正在被执行的脚本。如果你想要从你嵌入的 script

标签中拿一些属性来用，它会非常有用。我个人非常高兴它还没有被完全支持，否则它会让我们在一部分工作中渴望嵌入更复杂的代码。

onafterscriptexecute ?!

这个超没用，因为它只被 Firefox 支持。使用 onbeforescriptexecute

能让你绑定事件到每一个脚本的执行前和执行后，这很酷。

如果你对这个感到好奇，你可以研究下。event 对象包含一个被执行的脚本的引用，而 before 事件能通过

perventDefault() 取消脚本的执行。

for / event

到今天， HTML5 规范包含了一个很少见的，以前是 IE

特殊的方法来绑一段代码到一个事件。你应该能向下面这样让一段代码不被执行直到页面加载完成：

这段代码在 Chrome 或者 Firefox 下不能实际工作，但是它依然能够在 IE 下工作。

NOSCRIPT

如同你父母一样，很难相信 JavaScript 也曾经年少过。曾经有过这样一段时间你不能确定是否一个浏览器支持

JavaScript。更糟的是，你甚至不能确定那个浏览器能识别 script

标签。而如果一个浏览器不能识别标签，它应该会将它渲染成一个 inline 元素，意味着你所有 JavaScript

代码会被作为文本渲染在页面上！

幸运地是，规范已经能足够有效地避免这个情况发生，你只需要将你的代码包在 HTML

注释里，那些不支持脚本的浏览器会把下面的文本当做注释：

当然，像很多事情一样，XHTML将这变得更糟。XML用特殊的方法来转义可能包含结束标签的内容，这是 CDATA

的来历：

//

// Is this the right

incantation to get this to pass

// the XHTML

validator?

//

像上面这样写，你的代码可以是一个规范的 XHTML。它对实际功能没有什么影响，但是它对你作为一个 Web

开发者的荣誉也许很重要(现在这个时代，谁还用 XHTML 啊——译者注)。

浏览器也包含一个有用的方法来让你把那些不支持 JavaScript 人赶走，通过 noscript 标签。

Please use Internet Explorer 5.5 or

above.

exploitInternetExplorer0Day();

如果你有敏锐的观察力，你会意识到 noscript 不接受 type 参数，这使得那些使用别的 type

类型的脚本的页面上如果出现 noscript 会显得有点歧义。 noscript 实际行为在各个浏览器下有所不同。

Script 标签和 innerHTML

通过 DOM 动态添加到页面上的 script 标签会被浏览器执行：

var myScript = document.createElement_x("script");

myScript.textContent = "";

document.head.appendChild(myScript);

通过 innerHTML 动态添加到页面上的 script 标签则不会被执行：

document.head.innerHTML +=

"";